Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les Actualités RGPD du mois d'août 2025

A la Une21/08/2025
Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois d’août 2025 : IA générative, transferts de fichiers et cyberattaques !

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois d’août 2025 :

  1. Entrée en application de l’IA Act sur les modèles d’IA à usage général.
  2. L’association MOUSSE contre SNCF Connect : Le conseil d’Etat annule la décision du CNIL.
  3. Comment se protéger des cyberattaques et vol d’IBAN ? La CNIL sensibilise.
  4. Reponse de WeTransfer sur ses CGU
  5. Retour sur les dernières cyber attaques
  6. Manquement RGPD par la police espagnole

1. Intelligence Artificielle : ce qui change après le 2 août 2025

Le sigle "IA" est représenté en 3D, lumineux, sur un circuit imprimé aux reflets bleus, pour illustrer l'intelligence artificielle.
Le sigle "IA" est représenté en 3D, lumineux, sur un circuit imprimé aux reflets bleus, pour illustrer l'intelligence artificielle.

Le 2 août 2025, les dispositions de l’IA Act, le réglementation européenne sur l'Intelligence Artificielle, concernant les modèles d’IA à usage général (GPAI) sont entrées en application. Ces dispositions définissent les responsabilités des acteurs dans le cadre de la fourniture et l’utilisation des outils d’IA générative (ChatGPT, Mistral, Copilot, Gemini…). 

Désormais, les fournisseurs d’IA générative sont directement responsables des règles entrées en vigueur et soumis notamment à des obligations de transparence et gestion des risques. Par exemple, ils doivent élaborer et tenir à jour une documentation technique du modèle d’IA, mettre en place une politique visant à respecter le droit d’auteur et droits voisins et évaluer les risques pour les modèles d’IA qui présentent des risques systémiques (ceux qui ont une capacité très étendue et un fort impact). 

En ce qui concerne les déployeurs de ces modèles d’IA, leurs responsabilités varient en fonction de l’usage (risque limité ou élevé). Dans tous les cas, ils sont soumis à une obligation de transparence vis-à-vis des personnes concernées.

L’application de l’IA Act est progressive. Des dispositions relatives aux IA à haut risque entreront en vigueur ultérieurement.

Comment être en conformité RGPD ?

Notre accompagnement

2. Le Conseil d’Etat annule la décision de la CNIL : Association Mousse contre SNCF Connect

Une femme blonde et détendue est assise seule dans un wagon de train, un journal à la main. Un contrôleur est visible en arrière-plan.
Une femme blonde et détendue est assise seule dans un wagon de train, un journal à la main. Un contrôleur est visible en arrière-plan.

En 2021, la CNIL a rendu une décision précisant que la collecte de la civilité (M. et Mme) des clients lors de l’achat de billets, abonnements en ligne sur SNCF CONNECT ne constituait pas un manquement au principe de minimisation imposé par le RGPD. La CNIL a alors rejeté la demande de l’association MOUSSE contre cette pratique de la SNCF. Saisi de l’affaire, le Conseil d’Etat a interrogé la CJUE par le biais d’une question préjudicielle. 

Ainsi, le Conseil d’État a jugé, le 31 juillet 2025, que la SNCF Connect ne pouvait pas imposer à ses clients de communiquer leur civilité. Selon la Haute Cour Administrative, la collecte de ces données n’empêche pas la vente de billets ou d’abonnements, ni le contrôle d’identité lors du voyage. Cette décision infirme donc la décision de la CNIL selon laquelle la collecte de la civilité des clients était nécessaire à l'exécution du contrat conclu entre la SNCF et ses clients ou pouvait se fonder sur l’intérêt légitime de l’entreprise ferroviaire. Il en ressort donc que la collecte de données relative à la civilité doit être facultative. 

Source : Le Figaro.

3. Fuite de données et vol d’IBAN : comment s’en protéger ?

A la suite de différentes fuites de données recensées en France ces derniers mois, la CNIL met en avant les risques encourus par les personnes (consommateurs, clients, usagers etc) et quelques bonnes pratiques pour s’en prémunir.

Les risques peuvent être variés et dépendent généralement de la nature des informations dérobées. Il s’agit généralement de l’exploitation frauduleuse d’IBAN, de l’usurpation d’identité ou de la fraude à la carte SIM basée sur le vol d’identité, du hameçonnage (phishing). 

Pour se protéger au quotidien, vous pouvez renforcer votre sécurité numérique, notamment : 

  • Privilégier de mots de passe robustes et éviter l’utilisation d’un même mot de passe pour différents services
  • Utiliser les authentifications multifacteurs
  • Éviter de communiquer ses informations bancaires par téléphone ou sur des sites suspects
  • Partager l'information au sujet des fuites de données dans votre entourage afin d’alerter d’autres personnes et les inciter à la prudence. 

Découvrez notre guide des bonnes pratiques RGPD

Je découvre

4. WeTransfer a modifié ses CGU : doutes sur l’utilisation de l’IA

WeTransfer est une plateforme qui permet le transfert des fichiers. En juin, les conditions générales d'utilisation (CGU) ont été mises à jour, prenant effet le 8 août, mentionnant que lorsque l’utilisateur transmet des fichiers, il accepte que ses fichiers soient utilisés pour entraîner des modèles d’apprentissage automatique. Autrement dit, ces fichiers permettent d’enrichir l’IA (Intelligence Artificielle) mis au point par WeTransfer.

Cette modification des CGU ont suscité de nombreuses réactions notamment chez les créateurs et graphistes dû au fait qu’un simple envoi de fichiers devient un acte de cession de droits déguisé. Mi-juillet, l’entreprise a rectifié son article en expliquant notamment que les fichiers transférés ne sont pas utilisés pour entraîner des modèles d’IA. Selon l'entreprise, l’IA est utilisée uniquement pour détecter des contenus illicites ou illégaux, afin d’assurer la continuité du service.

Source : Les Echos.

Picto newsletter FOCUS SUR LES DERNIERES CYBERATTAQUES PUBLIEES

Bouygues victime d’une cyberattaque touchant 6,4 millions de clients

Le 6 août dernier, Bouygues a révélé avoir été victime d’une cyberattaque d’une grande ampleur. Cette dernière a touché 6,4 millions de ses clients. Les données compromises incluent des informations personnelles (état civil), coordonnées personnelles et professionnelles, éléments contractuels et même des IBAN. Les mots de passe et les numéros de carte bancaire ne seraient, eux, pas concernés. 

Les équipes techniques de Bouygues ont réagi rapidement pour contenir l’incident et renforcer la sécurité du Système d’information, les personnes concernées ont été notifiées individuellement. Toutefois, l’entreprise souligne le risque de fraude et alerte sur la possibilité d’usurpation par de faux conseillers par des tentatives de hameçonnage et d’arnaques. 

Bouygues est devenu, en moins d’un an, le cinquième opérateur touché par une cyberattaque de cette ampleur, notamment après SFR, Free, Coriolis et Corsica Telecom.

Source : Le Monde.

Recherche de conservations ChatGPT privées visibles sur internet

Une récente publication sur le site Reddit a révélé que certaines conversations avec l’outil ChatGPT, pourtant considéré comme privées et partagées uniquement via un lien, étaient visibles sur Google. En effet, il était possible en utilisant une commande spécifique “site:chatgpt.com/share [mot-clé]“ et sans autorisation spécifique des personnes concernées, de parcourir un nombre élevé d’échanges privés, portant sur des questions, réponses, des données personnelles sensibles ou stratégiques. Cette possibilité met en exergue la nécessité d’encadrer l'utilisation de l’intelligence artificielle et d’accroître la vigilance face aux informations partagées avec elle.

La réglementation européenne sur l’intelligence artificielle (AI Act) prévoit des dispositions sur les modèles d’intelligence artificielle à usage général (ChatGPT, Gemini, Copilot…) et impose des obligations de transparence et de sécurité  aux développeurs permettant aux utilisateurs de comprendre le fonctionnement de leurs systèmes.

Source : Les Numériques. 

France Travail : fuite de données de 340 000 demandeurs d’emploi

Une cyberattaque a touché France Travail et Cap Emploi et des informations personnelles ont été dérobées des demandeurs d’emploi actuellement inscrits, les personnes inscrites au cours des 20 dernières années et celles ayant un espace candidat sur le site.

Les données concernées sont le nom, prénom, numéro de sécurité sociale, date de naissance, identifiant France Travail, adresse mail et adresse postale ainsi que les numéros de téléphone. Les données bancaires ne sont pas concernées.

Une notification auprès de la CNIL a été faite et une plainte a été déposée. 

Source : Le Monde. 

6. Utilisation de téléphones personnes par la police espagnole : manquement à l’article 32 du RGPD

1. Un policier en uniforme est en train d'écrire une contravention sur un carnet, au niveau de la fenêtre d'une voiture, face à un conducteur.
1. Un policier en uniforme est en train d'écrire une contravention sur un carnet, au niveau de la fenêtre d'une voiture, face à un conducteur.

L’autorité espagnole de protection des données (AEPD) a ouvert une procédure à l’encontre du Commissariat Provincial de Malaga pour un manquement à l’obligation de sécurité des données.

Les agents utilisaient leurs téléphones personnels pour photographier des papiers d’identité lors d'enquêtes. Aucune mesure technique et organisationnelle n'avait été mise en place pour empêcher l’utilisation professionnelle de téléphones personnels des agents. Ainsi, une violation de l’article 32 du RGPD a été retenue par l’AEPD.

Le Commissariat a argué que l’usage était ponctuel et que les images étaient supprimées lorsqu’elles étaient ajoutées aux dossiers de l’enquête. Toutefois, l’AEPD considère que l'usage de téléphones personnels retire tout contrôle de la part du responsable de traitement sur les données. Le Commissariat doit mettre en œuvre dans un délai de 2 mois les mesures correctives pour empêcher l’utilisation professionnelle de téléphones personnels.

Il est important de mettre en place des outils sécurisés par l’organisation, afin d’avoir un contrôle sur la sécurité des données. 

Source : Portail RGPD.

Découvrez notre accompagnement en cybersécurité.

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées : 

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site

[Guide] Les bonnes
pratiques RGPD

Fermer

Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !

Je télécharge

Sur le même
thème